Lapsus$ : Okta fait part de ses regrets
Okta a admis avoir “commis une erreur” en n’informant pas plus tôt ses clients d’une violation de sécurité survenue en janvier, au cours de laquelle des pirates ont pu accéder à l’ordinateur portable d’un ingénieur du service clientèle d’un tiers.
Le 22 mars, le groupe Lapsus$ a publié des captures d’écran des systèmes d’Okta, provenant de l’ordinateur portable d’un ingénieur du service clientèle de Sitel, auquel les pirates ont eu accès à distance le 20 janvier.
“Nous voulons reconnaître que nous avons commis une erreur. Sitel est notre fournisseur de services dont nous sommes responsables en dernier ressort. En janvier, nous ne connaissions pas l’étendue du problème de Sitel – seulement que nous avions détecté et empêché une tentative de prise de contrôle d’un compte et que Sitel avait retenu les services d’une société d’expertise judiciaire tierce pour enquêter. À ce moment-là, nous n’avons pas reconnu qu’il y avait un risque pour Okta et nos clients. Nous aurions dû exiger plus activement et plus énergiquement des informations de Sitel”, a déclaré Okta dans une FAQ publiée vendredi, sous le titre “Pourquoi Okta n’a-t-il pas informé ses clients en janvier ?
Le 20 janvier, Okta a constaté une tentative d’accès direct au réseau Okta à l’aide du compte Okta d’un employé de Sitel, qui a été détectée et bloquée par Okta, qui a ensuite averti Sitel. En dehors de cette tentative d’accès, il n’y a pas eu d’autre preuve d’activité suspecte dans les systèmes d’Okta, a déclaré la société.
Okta est un important fournisseur de logiciels de gestion des accès d’entreprise. La société a déclaré que seuls 366 clients, soit environ 2,5 % de sa clientèle, ont été affectés. Toutefois, on s’est demandé pourquoi les clients n’ont pas été informés de l’incident plus tôt.
Dans sa FAQ, Okta déclare : “À la lumière des preuves que nous avons rassemblées au cours de la dernière semaine, il est clair que nous aurions pris une décision différente si nous avions été en possession de tous les faits que nous avons aujourd’hui.”
La société a fourni une chronologie détaillée des événements depuis le 20 janvier – date à laquelle elle a reçu une alerte indiquant qu’un nouveau facteur avait été ajouté au compte Okta d’un employé de Sitel – jusqu’au 22 mars – date à laquelle Lapsus$ a publié les captures d’écran qu’il a saisies.
Un autre son de cloche
Sitel a engagé une société d’expertise pour enquêter sur l’intrusion le 21 janvier, et l’enquête a été conclue le 28 février. Selon des articles publiés par TechCrunch et Wired, cette société serait Mandiant, l’entreprise d’analyse des menaces récemment rachetée par Google. Une partie de ce rapport a d’ailleurs été communiqué aux journalistes des deux publications.
Selon Wired, l’intrusion au sein du réseau interne de Sitel remonterait en réalité au 16 janvier : la société aurait détecté un incident de sécurité sur un réseau informatique appartenant à l’une de ses filiales, Sykes, à cette date. Les attaquants auraient ensuite profité de cet accès initial pour se déplacer au sein du réseau infecté et remonter dans le réseau de Sitel.
Parmi les éléments évoqués par le rapport, les auteurs indiquent que les attaquants ont notamment accédé le 21 janvier à une feuille de calcul Excel dont le nom est “DomAdmins-LastPass.xlsx”. Selon TechCrunch, cela correspondrait à un export de mots de passe des administrateurs du domaine fait depuis l’application Lastpass.
Cinq heures après avoir accédé à cette archive, les attaquants ont crée un nouveau compte administrateur sur le réseau, leur permettant de conserver un accès à celui ci quand bien même le compte initialement utilisé par les attaquants serait réinitialisé.
Le rapport indique également que Sitel a communiqué en direction de ses clients le 25 janvier, pour les informer d’un possible incident de sécurité. Wired note que Sitel semble avoir minimisé l’impact de cette intrusion en indiquant notamment n’avoir détecté aucun indicateur de compromission ou logiciel malveillant sur son réseau.
Le rapport d’expertise remis à Sitel est daté du 10 mars et Okta a reçu un résumé de ce rapport le 17 mars, selon la chronologie d’Okta.
Après la publication des captures d’écran, le directeur de la sécurité d’Okta, David Bradbury s’est dit “déçu par le délai qui s’est écoulé entre notre notification à Sitel et la publication du rapport d’enquête complet”.
Source : “ZDNet.com”
